OP.PL.1 Análisis de Riesgos
Finalidad
Este documento define la metodología de análisis y gestión de riesgos conforme al control OP.PL.1 del Anexo II del Real Decreto 311/2022 y a la metodología MAGERIT 3.0. El objetivo es proporcionar un marco sistemático y repetible para identificar amenazas, valorar su impacto sobre los activos de información, calcular el riesgo y determinar las salvaguardas necesarias.
Marco normativo
- Real Decreto 311/2022 — Esquema Nacional de Seguridad (Art. 6, 7 y 27; Anexos I y II)
- MAGERIT v3.0:2012 — Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Libros I, II y III)
- CCN-STIC 803 — Valoración de sistemas en el ENS
- CCN-STIC 806 — Plan de adecuación del ENS
Procedimiento
El análisis de riesgos se estructura en las siguientes fases:
Fase 1: Identificación y clasificación de activos
Los activos se importan del Análisis de Impacto (OP.CONT.1) y se clasifican según los diez grupos definidos por MAGERIT 3.0. Un mismo activo puede pertenecer a varios grupos simultáneamente.
| Código | Grupo | Ejemplos |
|---|---|---|
| D | Datos / Información | Bases de datos, logs, código fuente, configuración |
| K | Claves Criptográficas | Certificados TLS, claves API, claves de cifrado |
| S | Servicios | Servicios cloud, SaaS, servicios internos y externos |
| SW | Software | Sistemas operativos, aplicaciones, desarrollo propio |
| HW | Hardware | Servidores, estaciones de trabajo, dispositivos de red |
| COM | Comunicaciones | Internet, VPN, red local, telefonía |
| Media | Soportes | Copias de seguridad, medios de almacenamiento |
| AUX | Auxiliar | SAI, climatización, cableado |
| L | Instalaciones | CPD, oficinas, instalaciones de respaldo |
| P | Personal | Empleados, contratistas, proveedores |
Para cada activo se registra: nombre, descripción, propietario/responsable, criticidad (Alta, Media, Baja) y grupos MAGERIT a los que pertenece.
Fase 2: Valoración del activo (V)
Cada activo recibe un valor de importancia V en una escala de 1 a 4, que es fijo para todas las amenazas que afecten a ese activo:
| V | Nivel | Criterio |
|---|---|---|
| 4 | Crítico | Absolutamente necesario; su ausencia puede causar sanciones legales o económicas |
| 3 | Alto | Absolutamente necesario para poder prestar servicio al cliente |
| 2 | Medio | Necesario pero prescindible temporalmente; servicio degradado |
| 1 | Bajo | No necesario para el servicio ni impacto en procesos; prescindible |
Fase 3: Identificación de amenazas
Para cada activo se identifican las amenazas aplicables utilizando el catálogo de amenazas de MAGERIT 3.0, filtrado por los grupos MAGERIT a los que pertenece el activo. El catálogo incluye 113 amenazas organizadas por tipo de activo, incluyendo:
- Fallos de hardware y daño ambiental
- Acceso no autorizado y robo
- Errores de usuarios y administradores
- Fallos de software y servicios
- Ataques deliberados (suplantación, denegación de servicio, etc.)
- Fuga de información y manipulación de datos
Cada par activo-amenaza constituye una fila de riesgo que se evalúa individualmente en las fases siguientes.
Fase 4: Valoración del impacto (CIDAT)
Para cada fila de riesgo se valora el impacto en las cinco dimensiones de seguridad de la información, cada una en una escala de 0 a 4:
Confidencialidad (C)
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | Hacerlo público supone una falta total de confianza y la pérdida de negocio |
| 3 | Medio | Hacerlo público dañaría la imagen y se sufriría una pérdida de confianza |
| 2 | Bajo | Hacerlo público supone una pérdida mínima de imagen |
| 1 | Insignificante | Se puede hacer público |
| 0 | No aplica | La confidencialidad no es relevante para esta amenaza |
Integridad (I)
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | No se puede funcionar sin ello |
| 3 | Medio | Se produce ralentización de actividades y mal funcionamiento del servicio |
| 2 | Bajo | Se producen errores leves de funcionamiento del servicio |
| 1 | Insignificante | No afecta al servicio |
| 0 | No aplica | La integridad no es relevante para esta amenaza |
Disponibilidad (D)
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | No se puede funcionar sin ello |
| 3 | Medio | Se puede prescindir por un tiempo limitado |
| 2 | Bajo | Se puede prescindir porque existen otros medios alternativos |
| 1 | Insignificante | Se puede prescindir indefinidamente |
| 0 | No aplica | La disponibilidad no es relevante para esta amenaza |
Autenticidad (A)
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | Falsedad en origen o destinatario causaría daño grave, sanciones o pérdidas elevadas |
| 3 | Medio | Falsedad causaría daño importante aunque subsanable o pérdidas económicas importantes |
| 2 | Bajo | Falsedad causaría algún perjuicio o pérdidas económicas apreciables |
| 1 | Insignificante | Origen es irrelevante o ampliamente conocido por otros medios |
| 0 | No aplica | La autenticidad no es relevante para esta amenaza |
Trazabilidad (T)
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | Incapacidad de rastreo impediría subsanar errores graves o facilitaría delitos graves |
| 3 | Medio | Incapacidad de rastreo dificultaría subsanar errores importantes o perseguir delitos |
| 2 | Bajo | Incapacidad de rastreo dificultaría subsanar errores o perseguir delitos |
| 1 | Insignificante | No se producen errores de importancia, o son fácilmente reparables por otros medios |
| 0 | No aplica | La trazabilidad no es relevante para esta amenaza |
El Impacto Agregado (Ia) se calcula como la suma de las cinco dimensiones:
Fase 5: Estimación de la probabilidad (P)
La probabilidad de materialización de cada amenaza se estima en una escala de 1 a 4:
| P | Nivel | Frecuencia estimada |
|---|---|---|
| 4 | Alto | Completamente posible: el daño ocurre siempre (semanal o más) |
| 3 | Medio | Bastante posible: el daño ocurre con frecuencia (mensual) |
| 2 | Bajo | Remotamente posible: el daño ocurre en algunas ocasiones (anual) |
| 1 | Insignificante | Raramente ocurre: probabilidad remota (menos de una vez cada 5 años) |
Fase 6: Cálculo del riesgo inicial (R)
El riesgo inicial se calcula como el producto del valor del activo, el impacto agregado y la probabilidad:
Fase 7: Evaluación de salvaguardas
Las salvaguardas son los controles de seguridad del Anexo II del Real Decreto 311/2022 que se aplican para mitigar cada riesgo. Para cada fila de riesgo se identifican los controles ENS aplicables y se evalúa su grado de madurez según una escala CMMI:
| Nivel | Etiqueta | Eficacia (Si) | Descripción |
|---|---|---|---|
| L0 | Inexistente | 0 % | No existe ningún control |
| L1 | Inicial | 20 % | Proceso ad hoc, no documentado |
| L2 | Reproducible | 40 % | Proceso básico documentado y repetible |
| L3 | Proceso Definido | 60 % | Proceso estándar, integrado en la organización |
| L4 | Gestionado y Medible | 80 % | Proceso medido con indicadores y bajo control |
| L5 | Optimizado | 100 % | Proceso en mejora continua |
La eficacia de la salvaguarda se expresa como un valor decimal entre 0,0 y 1,0:
El objetivo es alcanzar un mínimo de L4 (80 %) en todos los controles, con L5 (100 %) como nivel ideal.
Fase 8: Cálculo del riesgo residual (Ri)
El riesgo residual es el riesgo que permanece tras aplicar las salvaguardas existentes:
Fase 9: Clasificación del riesgo y umbral de aceptación
El riesgo residual se clasifica en tres niveles:
| Nivel | Condición | Acción requerida |
|---|---|---|
| Bajo | Ri < 21 | Riesgo aceptable. Monitorizar. |
| Medio | 21 ≤ Ri < umbral | Riesgo tolerable. Monitorizar y planificar mejoras. |
| Alto | Ri ≥ umbral | Riesgo inaceptable. Requiere Plan de Tratamiento de Riesgos (PTR). |
El umbral de riesgo aceptable depende de la categoría del sistema conforme al Anexo I del Real Decreto 311/2022:
| Categoría del sistema | Umbral de riesgo aceptable |
|---|---|
| Básica | 80 |
| Media | 48 |
| Alta | 24 |
El sistema de información de la organización está categorizado como ALTO en las cinco dimensiones de seguridad (Disponibilidad, Confidencialidad, Integridad, Trazabilidad, Autenticidad), conforme al Análisis de Impacto (OP.CONT.1). Por tanto, el umbral de riesgo aceptable aplicable es 24.
Fase 10: Plan de Tratamiento de Riesgos (PTR)
Todo riesgo residual que iguale o supere el umbral de la categoría del sistema (Ri ≥ 24 para categoría ALTO) debe incluirse en el Plan de Tratamiento de Riesgos.
Para cada riesgo que requiera tratamiento se documenta:
- Amenaza y vulnerabilidad asociadas
- Activo afectado
- Proyecto de mitigación: descripción de las acciones a ejecutar
- Responsable de la ejecución
- Recursos necesarios
- Fecha límite de implantación
- Tareas concretas con fechas y responsables
- Seguimiento: descripción de lo realizado (no solo un indicador booleano)
Tras ejecutar las acciones del PTR, se recalcula la eficacia de las salvaguardas mejoradas (Sf) y el riesgo final:
La salvaguarda posterior al PTR (Sf) sustituye a la salvaguarda inicial (Si); no se acumula sobre ella.
Aceptación formal de riesgos
Una vez completado el análisis y, en su caso, el Plan de Tratamiento de Riesgos, los cuatro responsables ENS (Responsable de la Información, del Servicio, de Seguridad y del Sistema) deben firmar un Acta de Aceptación de Riesgos que documente:
- El riesgo residual aceptado por cada activo
- La justificación de dicha aceptación
- Los compromisos de mejora pendientes
Revisión
El análisis de riesgos se revisará:
- Anualmente, como mínimo, coincidiendo con la revisión general del sistema de gestión de seguridad.
- Inmediatamente, ante cambios significativos en los servicios, la infraestructura, el marco normativo o tras un incidente de seguridad relevante.
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager